HTTPS的链接建立、通信过程,SSL加密

已于 2022-11-29 09:56:05 修改
阅读量1.4k 收藏 3
点赞数
文章标签: https 网络 服务器
于 2022-11-21 15:22:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30326609/article/details/127964350
版权

文章目录

Https建立链接整体示意图

HTTPS建立过程相当复杂,下图为示意图,可以有整体认识。在这里插入图片描述

准备工作(对应图中prepare1234)

可以看到,在客户端向服务器发起请求前,还有一些准备工作要做,或者说是有一些工作已经做好了。

从CA证书颁发机构,获取数字证书。

  • 服务器:生成一对公私钥S.pub,S.pri,私钥自己保留,用于解密和签名,不能外泄。将公钥S.pub,身份信息,传给CA(Certificate Authority)机构;
  • CA机构:也有公私钥C.pub,C.pri;由S.pub,身份信息另外附加CA签名生成数字证书(签名使用C.pri进行签名)
  • 将数字证书颁发给申请者(服务器)
  • 客户端(比如我们经常使用的浏览器),为了安全性,会内置一份CA根证书,它包含C.pri,用于对数字证书验证

建立链接

https使用的是443端口,而http使用的是80端口

TCP端口号是一个2字节的整型,处于TCP报文段的前四个字节(2字节源端口号,2字节目的端口号)。

很明显范围是0~65535。其中0~1023具有特殊意义,已经被绑定,比如上面说的443,80,还有ftp的21端口。

下面的过程为具体详细一点的过程,如果不想看,可以完全只看示意图即可。

1 客户端发起请求(对应图中1)

同样需要三次握手,建立TCP连接(毫无疑问HTTPS也是基于TCP的)

2 客户端发送Client Hello包(对应图中2)

  • 随机数
    里面有1970年1月1日到现在的秒数,后面还有一个客户端发来的随机数Client.random

  • Session ID
    如果客户端与服务器费尽周折建立了一个HTTPS链接,刚建完就断了,也太可惜,所以用Session ID将其保存,如果下次再来可以直接使用之前的链接进行对话(对称密钥)。

  • 密文族
    告诉服务器,自己支持的加密算法种类

  • Server_name

3 Server Hello(对应图中2)

  • 随机数:对应服务器时间,服务器sever.random
  • Seesion ID,如果客户端发给服务器的session ID在服务端有缓存,服务端会尝试使用这个session;否则服务器会启用新的并返回给客户端;
  • 服务器挑选一个密文族

4 Certificate(对应图中2)

服务器终于发来我们想要的数字证书,包含了:签发机构、过期时间、主题名称、公共密钥信息、指纹信息等等
在这里插入图片描述

5 Server Hello Done(对应图中2)

服务器发送结束

6 客户端验证(对应图中3)

客户端从内置的CA根证书获取C.pub,对服务器发送来的数字证书进行验签,如果一致,说明证书是CA颁发的(前提是C.pub是真实的,确实是CA机构的公钥)。然后看看证书是否过期,域名是否匹配

7 生成对称密钥(对应图中4、5、6)

客户端根据之前的:Client.random + sever.random + pre-master生成对称密钥

经过S.pub加密发送给服务器,之后即可通过对称密钥进行通讯。(就是之前我们熟悉的http)

建立链接后通信

使用对称密钥通信

使用下文中得到的共享密钥进行通信,速度比建立链接使用的加密快。

Https混合加密方式

建立连接时使用的是非对称加密的私钥和公钥。

链接建立后通信的时候使用的是共享密钥加密。

共享密钥加密

链接建立后使用的加密,即通信时的加密,属于对称加密,并且没有像建立链接的诸多步骤,所以速度相对较快。

非对称加密

链接建立时使用的加密,因为三次握手、证书查询、验证签名、生成共享密钥等步骤,所以速度相对来说比较慢。具有公钥私钥的概念。

为什么要使用混合加密呢?

这是安全性和通信速度的平衡考虑。

建立链接时的加密比较复杂,加密过程比较慢,但是比较安全。

链接建立后通信时则反之,而通信的时候有希望能够尽可能块,所以使用的是共享密钥。

一种共享密钥算法

这里介绍一种共享密钥的加密算法,这在密码学属于密钥交换,实例算法为Diffie-Hellman 密钥交换,使用了数学模运算、指数运算的原理。

通信双方各自有一个密钥,比如:A的密钥是X,B的密钥是Y。

( 密 文 ) = B X m o d M (密文) = B^X mod M =BXmodM ,B和M是公开的,所有人都可以知道,X是各自私有的密钥。

( B 发 送 的 密 文 ) × ( A 持 有 的 密 钥 X ) = ( A 发 送 的 密 文 ) × ( B 持 有 的 密 钥 Y ) (B发送的密文)\times (A持有的密钥X) = (A发送的密文)\times (B持有的密钥Y) B×(AX=A×(BY)

( B Y m o d M ) × X = ( B X m o d M ) × Y (B^Y mod M)\times X=(B^X mod M) \times Y (BYmodM)×X=(BXmodM)×Y

( B Y   X m o d M ) = ( B X   Y m o d M ) (B^Y~^X mod M)=(B^X~^Y mod M) (BY XmodM)=(BX YmodM)

至此,双发没有发送自己的密钥,但是得到了相同的共享密钥。

非对称加密过程中的签名和证书

属于加密过程中的细节,解决需求可以不看,但是面试可能考到,毕竟越来越卷了。

证书上面示意图中已经阐述过了,这里主要写签名。证书注意的地方是 1、包含公钥,2、客户端通过内置证书验证子证书是不是合法的。

明文hash后的东西叫签名。

一句话说清楚:签名、明文、签名时使用的hash算法,这三个东西一起在客户端请求建立链接后发送给客户端,客户端把明文用hash算法计算,得出的值与传过来的签名对比,相同就没篡改。

缺点: 明文连着签名都给你伪造了。解决办法:证书。

Tang World
关注
Netty使用SSL实现双向通信加密
我是香菜
01-03 1428
最近项目有个需求,TCP服务器实现基于证书通信加密,之前没做过,花了一些时间调研,今天整理下。
C语言基于sslhttps通信,利用OpenSSL建立SSL安全通信(C/S)
weixin_42502860的博客
05-23 1836
/*******************************************************************************************SSL/TLS客户端程序WIN32版(以demos/cli.cpp为基础)*需要用到动态连接库libeay32.dll,ssleay.dll,*同时在setting中加入ws2_32.liblibeay32.lib...
百度https建链过程pcap文件
12-04
百度https报文,tcp三次握手过程,及https加密后的报文
TCP,SSL以及HTTPS的连接建立过程详解
qq_64162562的博客
03-15 2874
—以上就是历史背景。合法但不受信任的证书:一个证书可能是完全合法的(比如它是有效的、未过期的、并且正确地签名的),但如果它不是由客户端已知的受信任的CA签发的,客户端还是不会信任它。服务端收到客户端的报文后,会使用私钥进行解密,这样就得到了预主密钥,而且只有客户端和服务端知道这个预主密钥,没有其他人知道(因为预主密钥一旦被公钥加密,只能由私钥加密,反之同理,所以除非私钥泄露了,否则没有人会知道预主密钥)。这个校验确保与客户端交互的服务器是它声称的服务器,并且其证书是受信任的证书颁发机构(CA)签发的。
HTTPS通讯全过程
最新发布
m0_55721285的博客
08-16 1272
不得不说,https比http通讯更加复杂惹。在第一次接触https代码的时候,不知道为什么要用用证书,公钥是什么?私钥是什么?他们作用是什么?非对称加密和对称加密是啥?天,这些似懂非懂的概念,大大增加了我写代码的困难(本人就是不理解原理就浑身难受那种人惹,代码写着写着就想为什么要这样写,牛角尖一枚罢噜)。如果你也有这样的疑问,那么就让我们一起来看看这篇文章吧~~啾咪
HTTPS连接建立过程
weixin_43047908的博客
05-11 4036
HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议。在 TCP 和 HTTP 之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。身份验证 , 加密Https加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。
SSL连接建立过程分析(1)
热门推荐
Jinhill's Blog
12-26 4万+
Https协议:SSL建立过程分析web访问的两种方式:http协议,我们一般情况下是通过它访问web,因为它不要求太多的安全机制,使用起来也简单,很多web站点也只支持这种方式下的访问.https协议(Hypertext Transfer Protocol over Secure Socket Layer),对于安全性要求比较高的情况,可以通过它访问web,比如工商银行https:/
ssl加密协议通信.rar_SSL安全通信_client server_linux c ssl_linux ssl_认证
09-19
SSL(Secure Sockets Layer)加密协议是互联网上广泛使用的安全通信协议,它的...总之,SSL加密协议在保证网络安全方面起着至关重要的作用。通过理解其工作原理和编程实践,我们可以构建更加安全、高效的网络应用程序。
HTTPS建立连接的过程
weixin_43844995的博客
07-12 4538
HTTPS建立连接的过程
Java进阶(三)Java安全通信HTTPSSSL_sslcontext
2401_84411822的博客
04-28 930
>Connector元素本身,其默认形式是被注释掉的(commented out),所以需要把它周围的注释标志删除掉。然后,可以根据需要客户化(自己设置)特定的属性。一般需要增加一下keystoreFile和keystorePass两个属性,指定你存放证书的路径(如:keystoreFile=“C:/.keystore”)和刚才设置的密码(如:keystorePass=“123456”)。关于其它各种选项的详细信息,可查阅Server Configuration Reference。
深入理解 https 通信加密过程
天行健,君子以自强不息;地势坤,君子以厚德载物。
12-26 146
阅读文本大概需要3分钟。0x01 对对称加密的通俗理解即通信的双方都使用同一个秘钥进行加解密0x02 对非对称加密算法的通俗理解 [ RSA ]私钥 + 公钥= 密钥对即用私钥加密的数,...
https建立连接过程
似水流年QC的博客
05-13 1410
https建立连接过程
Https安全链接建立过程
weixin_34248118的博客
09-09 442
在了解https链接建立过程前,我们现在了解一下相关的概念。 什么是https https 并非是一种应用层新的协议,只是http通信的部分接口被SSL和TSL协议替换而已,其实就是披着安全层外壳的http。通常http直接和TCP通信,当时用SSL时,http先和SSL通信再和TLS通信https相对于http多了加密、认证以及完整性保护的功能。 SSL和TLS SSL最初由网景公司开发,后...
HTTPS 建立连接的过程
Beckham的博客
07-15 4342
HTTPS 建立连接的过程中,一共发起两次请求,进行非对称和对称两次加密 上图 详细说明一下 整个流程 1.客户端发送一个https的请求到服务端 2.服务端申请配置好数字证书,包含公钥和私钥 3.服务端将证书传送给客户端,证书中包含了很多信息,比如证书的颁发机构,过期时间,网址,公钥等 4.客户端解析证书,由客户端的TLS完成,首先会验证公钥是否有效,比如颁发机构,过期时间等。如果有异常,就会弹出警告信息,并结束通信。如果正常,则生成一个随机值(用于对称加密),然后用服务端的公钥对随机值进
HTTPSSSL是如何进行通信的?
一只青木呀
08-28 1566
HTTPSSSL通信具体过程1、httpsSSL通讯的前置准备工作2、openssl库相关函数介绍2.1、重要参数讲解3、SSL框架图4、demo4.1、sslserver.c4.2、sslclient.c 1、httpsSSL通讯的前置准备工作 https通信需要用到openssl库。 openssl库安装: sudo apt-get install openssl httpsssl通信还需要用到证书,私钥,公钥等信息,详情请查看: 如何自建根证书 如何建立中继 如何建立服务器证书 如何
HTTPS 建立连接的详细过程
as1406181的专栏
11-16 1891
简介 HTTPS是在HTTP的基础上和ssl/tls证书结合起来的一种协议,保证了传输过程中的安全性,减少了被恶意劫持的可能.很好的解决了解决了http的三个缺点(被监听、被篡改、被伪装) 对称加密和非对称加密 对称加密加密的密钥和解密的密钥相同, 非对称加密 非对称加密将密钥分为公钥和私钥,公钥可以公开,私钥需要保密,客户端公钥加密的数据,服务端可以通过私钥来解密 建立...
详解HTTPS连接过程
疯狂撸代码的奋青博客
05-11 7334
SSL建立连接过程 client向server发送请求https://baidu.com,然后连接到server的443端口,发送的信息主要是随机值1和客户端支持的加密算法。 server接收到信息之后给予client响应握手信息,包括随机值2和匹配好的协商加密算法,这个加密算法一定是client发送给server加密算法的子集。 随即server给client发送第二个响应报文是数字证书。服务端必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访
HTTP 和 HTTPS 的区别(1),Java开发面试问题
m0_60607783的博客
08-29 312
(3) 客户端内置的是 CA 的根证书(Root Certificate),HTTPS 协议中服务器会发送证书链(Certificate Chain)给客户端。 2、数据传输的机密性 客户端和服务端在开始传输数据之前,会协商传输过程需要使用的加密算法。 客户端发送协商请求给服务端, 其中包含自己支持的非对成加密的密钥交换算法 ( 一般是RSA),数据签名摘要算法 ( 一般是SHA或者MD5) ,加密传输数据的对称加密算法 ( 一般是DES),以及加密密钥的长度。 服务端接收到消息之后,选中安全性最高的算法,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值